什么是“以数据为中心的安全”: 大家眼中的DCS(一)
副标题[/!--empirenews.page--]
似乎在IT行业里,大家都有过类似的感觉,那就是总有新名词冒出来,大家讨论的热火朝天的同时,彼此对这个词的含义理解并不相同。好多年后,大家才逐渐清晰的总结出了这个词的具体含义。比如,大数据(Big Data)早在1983年就被提出来,在2011年进入行业视野,又过了好多年,人们才统一了认识,明确了大数据几个“V”的特点。 在安全行业,这个现象同样很常见。近几年,数据安全领域经常出现的一个热词是 “以数据为中心的安全”,很多报告都用“以数据为中心的安全”区别“传统的数据安全”,但却很少有人具体讲清楚“以数据为中心的安全”到底是什么。因此,我们梳理了近十年国内外对“以数据为中心的安全”这一概念的介绍和理解写出这篇文章,希望能对大家理解“什么是以数据为中心的安全”有所帮助。 DCS是Data-centric Security的简称,即以数据为中心的安全。为便于阅读,本文以下内容将统一使用DCS表示“以数据为中心的安全”。值得注意的是,有些文章提到的“以信息为中心的安全”(Information-centricSecurity)在本文中也一并以DCS代替。本文的目的是探讨DCS的具体含义,Data和Information的区别不在本文讨论范围内。 一、什么是DCS 维基百科上对DCS的解释是:相比系统安全、网络安全、应用安全等更聚焦在数据自身安全的安全方法,并指出一个DCS模型具有4个关键组件,分别是:发现、管理、保护和监测。这4个关键组件的具体能力是:发现是指发现敏感数据等数据存储在什么位置的能力;管理是指定义数据在不同情况下可访问、修改、阻断等策略的能力;保护是指阻止敏感数据泄露或非授权使用的能力;监测是指持续对数据使用异常行为监测发现的能力。 MarketsandMarkets在《DATA-CENTRICSECURITY MARKET》报告中称DCS市场规模将从2017年的20.6亿美元增长到2022年的58.3亿美元,其增长的主要动力来自于强劲的合规需求,其中亚太地区将成为增长最快的地区。 然而,目前行业内似乎还没有对DCS形成统一的认识。于是我们参考了数十份资料,包括学术论文、产业研究报告、技术白皮书等资料,系统梳理并结合我们自己的实践经验形成本文,目的是与大家一同讨论DCS的概念并统一对DCS的认识。 二、大家眼中的DCS 1. IBM:DCS的核心是数据分类 IBM是一家伟大的公司,很早就在很多技术领域发表过深刻的思考。2006年,IBM的研究人员Sreedhar就已经提出了基于角色分析的DCS方法,用于处理对象被不同方法访问时的安全问题。这个方法把角色作为重点考擦对象,并以角色一致为主要判别准则。2009年,IBM又提出一个基于数据的安全模型,名为DCSM(Data-centric Security Model)。DCSM把数据、策略和角色区分开,通过自定义一套策略描述语言,通过策略把数据和角色关联起来。DCSM是基于数据的商业价值进行制定策略,而不是基于传统的IT安全规则。更重要的时,DCSM强调了DCS的核心就是数据分类,而且必须是自动化的数据分类。这一判断非常准确,一直沿用至今。 IBM的观点是,传统的数据安全分类标签如机密、专有、限制传播、商业秘密等是不能满足业务需求的,如果数据分类和业务流程不匹配,则分类越多,来带的负面影响越多。所以IBM提出了新的数据分类方法,这个分类方法遵循三条原则:1)数据分类一次完成;2)策略直接体现在分类标签上;3)业务主管直接推进分类并直接看到执行结果。 IBM最后还是强调DCS最核心的内容就是结构化数据的分类方法,同时也指出,数据如何有效分类是个大学问,需要对行业规范、公司标准、业务操作、各类文档、部门交互都非常熟悉的核心人员来主导分类。 2. Symantec:数据打标和数据加密是重中之重 Symantec提出了一个以信息为中心的安全模型(Symantec Information Centric Security Module ,简称ICSM)。这个模型包括两个核心组件:数据打标(Symantec Information Centric Tagging,简称ICT)和数据加密(Symantec Information Centric Encryption ,简称ICE)。ICT和ICE都已在Symantec形成产品或解决方案。 ICT是针对邮件和文件进行打标签和加水印的分类器。ICE是基于云的一整套加密方案,包括加密算法、秘钥管理、身份认证、用户和文件监测以及终端用户加密工具。如果从Symantec的产品设计来看,还有Data Loss Prevention(DLP)和CloudSOC等产品。整套的数据安全产品在数据防护的准备、保护、监测和响应四个环节进行保护,具体下图所示。 图1. SynmantecDCS框架 3. IDC:DLP是DCS的神经系统 IDC指出DCS是解决数据安全的最佳方案。数据具有三种主要的保护方式:定义和分类、监测和强化治理策略、加密和混淆。数据防护的最佳方式就是将这三种方式有效的结合起来,而结合起来就是DLP、加密和访问控制。其中,DLP是在DCS策略中像神经系统一样重要。 4. Sirius:完整的DCS策略具有10个核心要素 Sirius Edge的一篇文章列出了一个完整的DCS必须具备的10个核心要素,分别是:1)数据发现;2)数据分类;3)数据打标和数据水印;4)DLP;5)数据可视化;6)加密策略;7)增强的网关控制;8)身份管理;9)云访问管理;10)持续教育。值得一提的是,这10个要素中强调了持续教育这一非技术要素,提醒我们做数据安全防护的时候一定不能只盯着技术、盯着功能性能,而忽略了教育、培训等非技术要素。 三、DCS离不开数据生命周期 DCS强调数据处于中心位置,如何体现中心位置呢?这就需要站在数据的视角,把数据的完整生命周期(Data Life Circle)梳理出来,然后从数据生命周期的每个关键环节重新审视安全问题和解法。通过数据生命周期来看待DCS并不是某一家独有的观点,而是很多机构共同支持的观点。只不过,大家对数据生命周期的划分数量和阶段类型都不同。一些文章用DLCM(Data Life Circle Model的简称,数据生命周期模型)来表述数据的生命周期。为便于阅读,本文统一使用DLCM表示数据生命周期,并用DLCM-X来区分不同的数据生命周期模型,其中X表示划分的阶段数量。 针对DLCM的讨论和划分有很多种,有些机构将数据生命周期分为5个阶段,形成DLCM-5,有些则划分成更多的阶段,例如DLCM-6、DLCM-7、DLCM-10等。本文,我们仅介绍几个代表性的DLCM。 1. DLCM-6 (编辑:我爱故事小小网_铜陵站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |